フルスクリーンオーバーレイ偽装
iframe を画面全体に配置し、親サイトに似た UI を描いてユーザーを欺くシナリオです。
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 動作 |
sandbox="allow-scripts" | 動作 |
sandbox="" (最も厳格) | 部分動作 |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/fullscreen-overlay?lang=ja" title="XSS Playground - フルスクリーンオーバーレイ偽装" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
実行
実攻撃では親ページの CSS で iframe 自体を画面全体に配置します。iframe の origin 内では任意の UI を描けるため、本物のサービスに見える偽画面を作れます。
// ログなし
解説
- iframe をどのように配置するかは親ページ側の責任です。任意 iframe を信頼された広い領域に置けるなら、視覚的な偽装が可能です。
- 本物の Fullscreen API にはユーザー操作が必要ですが、通常の DOM オーバーレイは操作なしでも描画できます。